Apa itu Juice Jacking, dan Haruskah Saya Menghindari Charger Telepon Umum?
Ponsel cerdas Anda perlu diisi ulang namun lagi dan Anda bermil-mil dari pengisi daya di rumah; kios pengisian publik terlihat cukup menjanjikan - cukup colokkan telepon Anda dan dapatkan energi yang Anda butuhkan. Apa yang bisa salah, kan? Berkat sifat-sifat umum dalam desain perangkat keras dan perangkat lunak ponsel, beberapa hal-baca terus untuk mengetahui lebih lanjut tentang jus jacking dan cara menghindarinya.
Apa itu Juice Jacking??
Terlepas dari jenis smartphone modern yang Anda miliki — baik itu perangkat Android, iPhone, atau BlackBerry — ada satu fitur umum di semua ponsel: catu daya dan aliran data melewati kabel yang sama. Apakah Anda menggunakan koneksi USB miniB standar sekarang atau kabel milik Apple, itu situasi yang sama: kabel yang digunakan untuk mengisi ulang baterai di telepon Anda adalah kabel yang sama yang Anda gunakan untuk mentransfer dan menyinkronkan data Anda.
Pengaturan ini, data / daya pada kabel yang sama, menawarkan vektor pendekatan untuk pengguna jahat untuk mendapatkan akses ke telepon Anda selama proses pengisian daya; memanfaatkan kabel data / daya USB untuk secara tidak sah mengakses data telepon dan / atau menyuntikkan kode berbahaya ke perangkat dikenal sebagai Juice Jacking.
Serangan itu bisa sesederhana invasi privasi, di mana ponsel Anda berpasangan dengan komputer yang disembunyikan di dalam kios pengisian dan informasi seperti foto pribadi dan informasi kontak ditransfer ke perangkat jahat. Serangan itu juga bisa invasif seperti injeksi kode berbahaya langsung ke perangkat Anda. Pada konferensi keamanan BlackHat tahun ini, peneliti keamanan Billy Lau, YeongJin Jang, dan Chengyu Song sedang mempresentasikan "MACTANS: Menyuntikkan Malware ke Perangkat iOS melalui Pengisi Daya Berbahaya", dan berikut adalah kutipan dari abstrak presentasi mereka:
Dalam presentasi ini, kami menunjukkan bagaimana perangkat iOS dapat dikompromikan dalam satu menit setelah dicolokkan ke pengisi daya berbahaya. Kami pertama-tama memeriksa mekanisme keamanan Apple yang ada untuk melindungi dari instalasi perangkat lunak yang sewenang-wenang, kemudian menjelaskan bagaimana kapabilitas USB dapat dimanfaatkan untuk mem-bypass mekanisme pertahanan ini. Untuk memastikan tetap adanya infeksi yang dihasilkan, kami menunjukkan bagaimana penyerang dapat menyembunyikan perangkat lunak mereka dengan cara yang sama dengan Apple menyembunyikan aplikasi bawaannya sendiri.
Untuk menunjukkan aplikasi praktis dari kerentanan ini, kami membuat bukti konsep charger berbahaya, yang disebut Mactans, menggunakan BeagleBoard. Perangkat keras ini dipilih untuk menunjukkan kemudahan dengan mana pengisi daya USB yang tampak tidak bersalah dan berbahaya dapat dibangun. Sementara Mactans dibangun dengan jumlah waktu yang terbatas dan anggaran yang kecil, kami juga secara singkat mempertimbangkan apa yang dapat dicapai oleh musuh yang lebih termotivasi dan didanai dengan baik.
Menggunakan perangkat keras murah dan kerentanan keamanan yang mencolok, mereka dapat memperoleh akses ke perangkat iOS generasi saat ini dalam waktu kurang dari satu menit, meskipun banyak tindakan pencegahan keamanan telah dilakukan oleh Apple untuk secara khusus menghindari hal semacam ini..
Namun, eksploitasi semacam ini bukan blip baru pada radar keamanan. Dua tahun lalu pada konferensi keamanan DEF CON 2011, para peneliti dari Aires Security, Brian Markus, Joseph Mlodzianowski, dan Robert Rowley, membangun kios pengisian untuk secara khusus menunjukkan bahaya pembajakan jus dan mengingatkan masyarakat tentang betapa rapuhnya ponsel mereka ketika terhubung ke kios-gambar di atas ditampilkan kepada pengguna setelah mereka masuk ke kios jahat. Bahkan perangkat yang telah diperintahkan untuk tidak memasangkan atau berbagi data masih sering dikompromikan melalui kios Keamanan Buenos Aires.
Yang lebih meresahkan adalah bahwa pemaparan ke kios jahat dapat membuat masalah keamanan yang bertahan lama bahkan tanpa injeksi kode berbahaya segera. Dalam artikel terbaru tentang masalah ini, peneliti keamanan Jonathan Zdziarski menyoroti bagaimana kerentanan pemasangan iOS tetap ada dan dapat menawarkan pengguna jahat jendela ke perangkat Anda bahkan setelah Anda tidak lagi berhubungan dengan kios:
Jika Anda tidak terbiasa dengan cara memasangkan di iPhone atau iPad Anda, ini adalah mekanisme di mana desktop Anda membangun hubungan tepercaya dengan perangkat Anda sehingga iTunes, Xcode, atau alat lain dapat berbicara dengannya. Setelah mesin desktop dipasangkan, mesin itu dapat mengakses sejumlah informasi pribadi pada perangkat, termasuk buku alamat, catatan, foto, koleksi musik, basis data sms, cache mengetik, dan bahkan dapat memulai pencadangan penuh telepon. Setelah perangkat dipasangkan, semua ini dan lainnya dapat diakses secara nirkabel kapan saja, terlepas dari apakah sinkronisasi WiFi Anda dihidupkan. Pasangan bertahan seumur hidup sistem file: yaitu, begitu iPhone atau iPad Anda dipasangkan dengan mesin lain, hubungan pasangan itu berlangsung sampai Anda mengembalikan ponsel ke kondisi pabrik..
Mekanisme ini, yang dimaksudkan untuk membuat penggunaan perangkat iOS Anda tanpa rasa sakit dan menyenangkan, sebenarnya dapat menciptakan kondisi yang agak menyakitkan: kios yang baru Anda isi ulang dengan iPhone Anda, secara teoritis, menjaga tali pusat Wi-Fi ke perangkat iOS Anda untuk akses yang berkelanjutan bahkan setelah Anda mencabut kabel telepon dan duduk di kursi santai bandara terdekat untuk bermain (atau empat puluh) Angry Birds.
Bagaimana Saya Harus Khawatir?
Kami sama sekali tidak khawatir di sini di How-To Geek, dan kami selalu memberikannya langsung kepada Anda: saat ini jus jacking adalah ancaman teoretis, dan kemungkinan bahwa port pengisian USB di kios di bandara lokal Anda sebenarnya adalah rahasia depan untuk menyedot data dan komputer penyuntik malware sangat rendah. Namun, ini tidak berarti bahwa Anda hanya harus mengangkat bahu dan segera melupakan risiko keamanan yang sangat nyata yang menghubungkan ponsel cerdas atau tablet Anda ke perangkat yang tidak dikenal..
Beberapa tahun yang lalu, ketika ekstensi Firefox Firesheep menjadi bahan pembicaraan di kota ini di kalangan keamanan, itu justru merupakan ancaman teoretis tetapi masih sangat nyata dari ekstensi browser sederhana yang memungkinkan pengguna untuk membajak sesi pengguna layanan web dari pengguna lain di Internet. simpul Wi-Fi lokal yang menyebabkan perubahan signifikan. Pengguna akhir mulai mengambil keamanan sesi penjelajahan mereka lebih serius (menggunakan teknik seperti tunneling melalui koneksi internet rumah mereka atau menghubungkan ke VPN) dan perusahaan internet besar membuat perubahan keamanan besar (seperti mengenkripsi seluruh sesi browser dan bukan hanya login).
Dengan cara ini, membuat pengguna sadar akan ancaman jus jacking mengurangi kemungkinan orang-orang akan dibius jus dan meningkatkan tekanan pada perusahaan untuk mengelola praktik keamanan mereka dengan lebih baik (bagus, misalnya, bahwa perangkat iOS Anda berpasangan dengan mudah dan mudah). membuat pengalaman pengguna Anda lancar, tetapi implikasi pemasangan seumur hidup dengan kepercayaan 100% pada perangkat pasangan cukup serius).
Bagaimana Saya Bisa Menghindari Juice Jacking?
Meskipun jus jacking tidak seluas ancaman seperti pencurian telepon langsung atau paparan virus berbahaya melalui unduhan yang dikompromikan, Anda tetap harus mengambil tindakan pencegahan akal sehat untuk menghindari paparan sistem yang dapat berbahaya mengakses perangkat pribadi Anda. Gambar milik Exogear.
Pusat tindakan pencegahan paling jelas di sekitar hanya membuatnya tidak perlu mengisi daya ponsel Anda menggunakan sistem pihak ketiga:
Jaga agar Perangkat Anda Diakhiri: Tindakan pencegahan yang paling jelas adalah menjaga perangkat seluler Anda tetap terisi daya. Biasakan untuk mengisi baterai telepon Anda di rumah dan kantor Anda ketika Anda tidak menggunakannya secara aktif atau duduk di meja Anda mengerjakan pekerjaan. Semakin sedikit Anda mendapati diri Anda menatap bilah baterai merah 3% saat bepergian atau jauh dari rumah, semakin baik.
Bawa Pengisi Daya Pribadi: Pengisi daya telah menjadi sangat kecil dan ringan sehingga beratnya tidak lebih dari kabel USB sebenarnya yang mereka pasang. Lemparkan pengisi daya ke dalam tas Anda sehingga Anda dapat mengisi daya ponsel Anda sendiri dan mempertahankan kendali atas port data.
Bawa Baterai Cadangan: Apakah Anda memilih untuk membawa baterai cadangan penuh (untuk perangkat yang memungkinkan Anda bertukar baterai secara fisik) atau baterai cadangan eksternal (seperti baterai 2600mAh mungil ini), Anda dapat menggunakan baterai lebih lama tanpa harus menambatkan ponsel ke kios atau outlet dinding..
Selain memastikan ponsel Anda memiliki baterai penuh, ada teknik perangkat lunak tambahan yang dapat Anda gunakan (meskipun, seperti yang dapat Anda bayangkan, ini kurang dari ideal dan tidak dijamin untuk bekerja mengingat perlombaan eksploitasi keamanan yang terus berkembang). Dengan demikian, kita tidak dapat benar-benar mendukung salah satu teknik ini sebagai benar-benar efektif, tetapi mereka jelas lebih efektif daripada tidak melakukan apa-apa.
Kunci Ponsel Anda: Ketika ponsel Anda terkunci, benar-benar terkunci dan tidak dapat diakses tanpa input PIN atau kode sandi yang setara, ponsel Anda tidak boleh berpasangan dengan perangkat yang terhubung dengannya. Perangkat iOS hanya akan berpasangan saat tidak terkunci - tetapi sekali lagi, seperti yang telah kami sorot sebelumnya, pemasangan berlangsung dalam beberapa detik sehingga Anda sebaiknya memastikan ponsel benar-benar terkunci.
Matikan Ponsel: Teknik ini hanya bekerja pada model telepon berdasarkan model telepon karena beberapa telepon akan, meskipun dimatikan, masih menyala di seluruh rangkaian USB dan memungkinkan akses ke penyimpanan flash di perangkat.
Nonaktifkan Pairing (Hanya Perangkat iOS Jailbroken): Jonathan Zdziarski, yang disebutkan sebelumnya dalam artikel itu, merilis aplikasi kecil untuk perangkat iOS yang di-jailbreak yang memungkinkan pengguna akhir untuk mengontrol perilaku pemasangan perangkat. Anda dapat menemukan aplikasi-nya, PairLock, di Cydia Store dan di sini.
Salah satu teknik terakhir yang dapat Anda gunakan, yang efektif tetapi tidak nyaman, adalah menggunakan kabel USB dengan kabel data yang dilepas atau disingkat. Dijual sebagai kabel "hanya daya", kabel ini kehilangan dua kabel yang diperlukan untuk transmisi data dan hanya memiliki dua kabel untuk transmisi daya yang tersisa. Salah satu kelemahan menggunakan kabel seperti itu, bagaimanapun, adalah bahwa perangkat Anda biasanya akan mengisi lebih lambat karena pengisi daya modern menggunakan saluran data untuk berkomunikasi dengan perangkat dan menetapkan batas transfer maksimum yang sesuai (jika tidak ada komunikasi ini, pengisi daya akan secara default ambang batas aman terendah).
.